Home Depot : une gestion de la sécurité défaillante depuis longtemps ?

Le vol de 56 millions de numéros de cartes bancaires chez Home Depot aurait-il pu être évité ? C’est ce que l’on est en droit de se demander à la lecture d’un article du New York Times sur la gestion de la sécurité informatique chez la chaîne américaine de magasins.

D’anciens membres de l’équipe de cybersécurité de la société auraient ainsi déclaré que la société avait été mise en garde dès 2008 que des problèmes existaient. La situation était telle que l’un d’entre eux allait même jusqu’à conseiller à ses amis de réaliser leurs achats en liquide plutôt que par cartes de crédit.

Un antivirus pas à jour, des scans réalisés alétoirement

Home Depot aurait, par exemple, utilisé un antivirus de Symantec vieux de 2007 pour protéger son réseau. Rien n’était mis en place pour détecter les comportements anormaux, et les scans des ordinateurs n’étaient réalisés qu’aléatoirement par la société. « Les règles de sécurité de l’industrie des cartes de crédits exigent des grands distributeurs comme Home Depot de réaliser des scans d’envergure au moins une fois par semestre en utilisant des technologies approuvées par le Payment Card Industry Security Standards Council », précisent les journalistes du New York Times. De son côté, Home Depot affirme qu’elle est était conforme au standard PCI (Payment Card Industry) depuis 2009.

Ceci dit, en 2012, la firme avait embauché un ingénieur pour remettre de l’ordre dans la sécurité des 2200 magasins américains de l’enseigne. Manque de chance, cet ingénieur a été condamné à quatre ans de prison cette année pour avoir délibérément désactivé des ordinateurs chez d’anciens employeurs.